Firewall für den USB-Anschluss

In Vergangenheit haben Sicherheits-Experten immer wieder vor potenziellen Gefahren gewarnt, die von USB-Geräte wie von “BadUSB” -Sticks ausgehen. Dabei werden USB-Geräte von Kriminellen soweit in ihrer Firmware modifiziert, dass diese an jedem System zur potenziellen Gefahr werden können und das System an welche sie angeschlossen werden mit Malware, Ransomware u.ähnlichem infizieren können und auch eine Manipulation der Systeme von aussen ermöglichen.

Dabei ist die Bandbreite von USB-Geräten heute bereits grenzenlos geworden. Neben den klassischen Peripherie-Geräten wie Maus, Tastatur oder Webcam gibt es heutzutage fast alles mit USB-Anschluss – wenn nur als einfache, standardisierte Lademöglichkeit. Dennoch ist seitens der Hersteller bislang wenig passiert, die Systeme sind weiterhin schutzlos den Gefahren die von BadUSB-Geräten ausgehen, ausgeliefert.

Der Experte Robert Fisk hat sich diesem Problem angenommen und einen USB-Dongle entwickelt, der das System vor Übertragung von schädlichen Angriffen über den USB-Anschluss schützen soll. WIKI: https://github.com/robertfisk/USG/wiki

Bild: https://github.com/robertfisk/USG/wiki – USG-Dongle

Der Dongle verfügt über zwei USB-Anschlüsse, die jeweils mit einem eigenen ARM-Controller verbunden sind. Diese beiden Controller kommunizieren miteinander unter Verwendung eines begrenzten Satzes von Anweisungen, die “BadUSB-Angriffe” (und andere) abwehren würden.

Laut dem USG-Entwickler Robert Fisk wurde die USG-Firmware quelloffen und auditierbar gehalten, so dass man dieser durchaus vertrauen kann. Die USG-Firmware ist so verwundbar wie jedes andere USB-Gerät draußen. Aber der entscheidende Punkt ist dabei, dass eine Infektion nicht über die interne Firewall der USG springen kann, also ist die andere Seite des USG sicher …

Bild: https://github.com/robertfisk/USG/wiki

Der USG v1.0 unterstützt zur Zeit nur eine begrenzte Zahl von USB-Geräten wie  Mäusen,Tastaturen und Laufwerken. Laut dem Experten sollen weitere USB-Typen in zukünftigen USG-Firmware-Updates unterstützt werden. Des weiteren soll der USG-Dongle auch Betriebssystem unabhängig, also auch für Windows, Linux, MacOS und Embedded Systemen verwendet werden können. Es empfiehlt sich nicht den USG-Dongle mit einem USB-Hub zu verwenden, sondern jedes Gerät einzeln an den Dongle anzuschliessen.

Fisk baut USG v1.0 von Hand in Neuseeland und weigert sich, die Produktion auszulagern bzw. Einzelheiten über die Eigenschaften des neusten Designs preiszugeben. Allerdings stellt eine Anleitung zum Selbstbau für den USG v0.9 für die Öffentlichkeit bereit. https://github.com